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(57) La presente invention conceme un precede de 
protection des messages de gestion d'un systeme de 
controle d'acces comporlarii des messages de gestion 
(EMM) specif iques a chaque utilisateur. 

Selon le procede, les nriessages de gestion (EMM) 



sont divises en messages de gestion augmentant les 
droits de i'utiiisateur appeles EMM positils et en messa-. 
ges de gestion diminuant les droits de I'utiiisateur appe- 
les EMM negatlfs^ ciiaquetypede messages etani traite 
differemment. 

Application a la television a peage. • 
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Description ^ ^ 

La presente invealion coacevne un pfocede de pro- 
tection des messages de gestion d'un systeme de con- 
tr6le d'acces ainsi qu'un dispositil pour la mise en 
oeuvre de ce precede. Les systemes de controle d'ac- 
ces-ou syslerries.a acces conditionnels sent bien con- 
nus dans tous les systemes dit securises et notamment 
dans le domaine de la television a peage. Ces systemes 
sont utilises lorsqu'un prestataire de service veut 6tre 
sur que des programmes ou des donnees de service 
dittuses sont disponibles seulement pour les utilisaleurs 
qui ont rempli certaines conditions, telles que le paie- 
ment. Dans ce cas, le prestataire de service desire cori- 
tr6ler Faeces k son service de maniere a ne le delivrer 
qu'a ses abonnes. Le prestataire de service distribue 
done a chacun des abonnes un terminal capable de cap- 
ter le service et aussi des droits d'acces. En general, les 
droits d'acces sont stockes dans une carte a memoire 
ou carte k puce dotee d'un microprocesseur pouvant 
realise un certain nombre de lonctions, nolamrrient des 
tonctions cryptographiques. 

Comme represente sur la figure 1 , les systemes de 
controle d'acces actuellement utilises sont cdnstitues le 
plus souvent de deux parties, une partie embrouillage 
et uhe partie contr6le. La partie embrouillage est la par- 
tie qui traite les signaux corresporidarit aux sen/ices ren- 
dus, par example les signaux video, les signaux audio 
bu d'autres donnees et la partie controle est, en general, 
la partie qui possfede des signaux "des" necessaires 
pour debloquer la partie embrouillage. 

Sur. la figure 1, on a represente schematiquement 
le flux des dorihees principales dans un systeme a con- 
trole d'acces. Sur cette figure, la partie gauche repre- 
sente les operations r ealisees au niveau.du s er yfli jr t^n- 
"^flri^quena^arlie droite represente les operations reali- 
sees au niveau du terminal chez rutilisateur. La referen- 
ce 1 represente les operations realisees au niveau me- 
me de la carte a puce qui vient s'inserer dans le terminal. 

Comme represente sur la figure 1 , les signaux cor- 
respondanl aux services delivres par le prestataire de 
service et reference Service sont tout d'abord envoyes 
dans un dispositif d'embrouillage reference S ou ils sont 
embrouilles de maniere connue. Le dispositif d'em- 
brouillage peut etre, par exempie, un generateur de se- 
quences biriaires pseudoaleatoires dont les signaux en 
sortie sont rendus imprevisibles en utilisant un mot de 
controle reference SCW. Comme represente sur la figu- 
re 1, le mot de controle SCW est issu d'un circuit de 
generation de mots de controle CW. II est aussi possible 
d'utiliser un mot de controle local qui, dans ce cas, serait 
un mot invariable. Les signaux correspondant au servi- 
ce sont done emis de maniere embrouillee Jsennce) 
vers un terminal ou ils sont desembrouilles dans un de- 
sembrouilleur S'^ en utilisant le mot de controle dechiffre 
issu du circuit de dejivrance du CW. En effet, lorsque 
Ton n'utilise pas un mot de controle local mais un mot 
de controle geriere par un systeme specifique, comme 



.represente sur la figure 1, le mot de controle DCW issu 
du circuit de generation CW est envoye sur un systeme 
de cinillrement reference E, puis i) es\ emis sous forme 
chiffree (DCW) vers le terminal, plus particulierement 

5 dans un circuit de dechiftrement E*"" contenu dans la car-- 
^ te a puce qui permet de le dechiffrer et de I'envoyer sur 
. un circuit de deiivrance du CW qui, a son tour, I'enverra 
sur le circuit de desembrouillage S""* lors de la reception 
d'une autorisation donhee par le systeme de verification 
.10 des droits qui tait partie du systeme de chiffrement. 

□'autre part, comme represente sur ia figure 1 , au 
niveau du serveur, est stocke un certain nombre de don- 
nees permettant de gerer I'acces .au systeme. II s'agit 
en fait de la definition du service. Dans la partie referen- 

15 cee definition du service, on.trouve done des donnees 
definissant I'ensemble des droits disponibles ou droits 
d'acces ainsi que les attributs du sen/ice. Parmi I'en- 
semble des droits disponibles est defini un certain nom- 
bre de droits accordes a I'utilisateur. Ces droits accor- 

20 des donnent lieu a des messages de gestion references 
" EMM. Ces messages de gestion sont chitlres au niveau 
du serveur au moyen du systeme de chiffrement refe- 
rence E et une fois chiffres, ces messages {EMM) sont 
envoyes vers le terminal ou ils sont dechiffres dans le 

25 circuit E'*" pour obtenir les droits delivr6s de maniere a 
pouvoir mettre a jour les droits de Tabonne interesse. 
Dans ce cas, chaque abonne est reconnu par une 
adresse numerique intalsitiable rangee dans sa carte a 
puce. Contrairement aux messages SA et DCW syn- 

30 ch rones du sen/ice diffuse, les messages EI^^M sont to- 
talement asynchrones et apparaissent en fbnction des 
mises a jour des droits d'un ou plusieurs abonnes. Les ■ 
messages de gestion EMM contiennent I'adresse de 
I'abonne concerne. Seuls les droits de I'abonne dont 

nQHr^*>^» r4^^'^'*'- Pi 1 ' f b.^.^...,.^.»-f?.Nfrf.,fl^ — ■ 

sont mis a jour. D'autre part jes attributs du service SA 
sont transmts de maniere synchrone avec le service, lis 
sont proteges centre ta falsification en utilisant par 
exempie un chiffreur E. La carle a puce regoit ces mes- 

40 .sages,, les dechiffre en utilisant sa cie secrete et les 
compare aux droits stockes. Si ceux-ci correspondent, 
le mecanisme de deiivrance de la cie de desembrouilla- 
ge DCW est autorise. Generalement, SA et DCW sont 
groupes au sein d'un unique message appele ECM 

45 (message d'acces). Un message d'acces ECM permet 
de recreer le mot de controle CW ou cie correspondant 
k une periode eiementarre. Une periode eiementaire est ^ 
la periode de validite du mot de controle, c'est-a-dire eel- 
le separant deux ECM Les messages d'acces et les . 

50 messages de gestion circulent sur le canal des donnees. 
en etant multiplexes. 

■ Actuellement, les systemes de contr6le d'acces se 
divisent en deux tamilles : 

55 - selon un premier systeme, les droits de tous les 
abonnes ne sont valables que pendant un temps 
limite, avant la fin duquel ils sont rafralchis, la refe- 
rence de temps etant transmise dans les messages 
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ECM; 

selon un second syst^me, seules les mises a jour 
de droits d'abonnes ayant evoluees spnt etfec- 

tuees, 

Le premier systeme impose un debit relativement 
important compare au. second car les droits devenant 
spontanement caduques necessitent d'etre rafralchis. 
Au contraire, lorsque seules les modifications de droits 
generent des messages de gestion, le debit de messa- 
ges EMM devient faible mais un mauvais payeur peut 
echapper a ceux d'entre eux qui vont degrader ses 
droits actuels en tentant de les filtrer 

La presente invention a pour but de rem^dier aux 
problemes lies aux messages de gestion diminuant les 
droits d'un utilisateur et diffuses dans un systeme de 
controle d'accfes ^ rafraichissement partiel des droits. 

AussI, la presente invention a pour objet un procede 
de protection des messages de gestion d'un systeme 
de controle d'acces (EMM), specifiques a chaque utili- 
sateur,. caracterise en ce que les messages de gestion 
sont divises en messages de. gestion augmentant les 
droits de 1' utilisateur appeles EMM positifs et en messa- 
ges de gestion diminuant les droits de ('utilisateur appe- 
les EMM negatifs, chaque type de messages etant traits 
differemment, De maniere connue, les messages de 
gestion (EMM) sont multiplexes avec des messages de 
controle d'acces (ECM). 

Selpn un mode de realisation preferentiel, les mes- 
sages de gestion negatifs sont envoyes directement 
vers la carte a puce detenue par un utilisateur a travers 
un canal virtuel a bas debit adapte aux possibililes de 
traitemenl de la carte a puce et les messages de gestiori . 
positifs sont transmis vers la carte a puce a travers un ^ 
filtre eiiminant les messages non adresses a ladite carte 
a puce , ' 

D'autres caracterisliques et avantages de la pre- , 
sente invention apparaitront a ta lecture de la descrip^ 
tion falte ci-apres d'au moins un mode de realisation 
preferentiel, cette description etant faite avec reference 
aux dessins ci-annexes dans lesquels : 

la figure 1 deja dechte represente schematique- . 
ment le flux des donnees dans un systeme a con- 
trole d'acces ; . 

la figure 2 represente schernaliquement les princi- 
paux elements se trouvant au niveau d'un serveur 
pour la mise en oeuvre du procede conforme a la 
presente invention. 

la figure 3 represente de maniere plus detaill6e un, 
exemple de creation des messages proteges con- 
formement a invention, et 
la figure 4 represente schematiquernent un deco- 
deur permettant la mise en oeuyre du procede con- 
forme a la presente invention. 

Comme represente sur la figure 2, les donnees 
fournies par le prestataire de service peuvent etre par 



exemple un film qui est delivr6 par un magnetoscope 
mumerique reference VCR|sj sous forme de signaux s. 
Les signaux s.sorit envoyes sur un dispositit d'em- 
brouillage S qui fonctjonne sous controle d'un mot de 

5 - controle CW qui peut etre obtenu, de maniere connue, 
a partir d'un calculateur ou a partir de circuits plus spe- 
. cifiques tels que des generateurs de frequence binaires 
. pseudo-aleatoire ou simiiaire, En sortie du dispositit 
d'embrouillage S, on obtient un signal embrouiile qui est 

^0 une fonction de f(s,CW). 

D'autre part, de maniere connue, pour obtenir un 
acices conditionnel. aux inlorrhations embrouilJees, le 
prestataire de service emet aussi un certain nombre de 
messages. Ces messages sont conslitues principaie- 

:'5 ment par des messages d'acces references ECM, ces 
messages d'acces permettant notamment de recreer le 
mot de controle C W ou cle correspondant a une periode 
elementaire du service embrouill6. Les messages d'ac- 
ces ECM comportent aussi des donnees relatives aux 

20 attributs du service lui-meme. Le prestataire de service 
emet aussi des messages de gestion ou EMM qui per- 
mettent de modifier les droits d'un groupe d'utilisateurs. 

Conformement a la pr6sente invention, les messa- 
ges de gestion EMM ont ete divises en deux types de 

25 messages, a savoir les messages de gestion negatits 
references EMM-N qui enlrainent une diriiinution des 
' droits.de I'abonne, par exemple une suppression de 
I'abonne lorsque celui-ci n'a pas paye, ou I'acces a un 
nombre inferieur de services suite ci un changement 

30 d'abonnement, et les messages de gestion positifs re- . 
ferences EMM-P qui entrainent une augmentation des 
droits, Dans ce cas, il est important que les EMM-nega- 
tifs ne puissent pas etre pirates. 

Comme represente sur la figure 2, I'ensemble des 

35 donnees constitue par les signauX F(s,CW), ECM, 
EMM-N, EMM-P, sont envoyes, sur un multiplexeur re- 
ference Mx, le multiplexeur donnant en sortie ies don- 
nees D qui sont emises vers I'utilisateur 

Conformement a la presente invention, il est impor- 

40" tanl que les messages de gestion negatifs EMM-N 
soient transmis dans un canal virtuel a bas debit assu- 
rant a la fois confidentialite, authenticite, authenticite 
par rapport a la sequence du service en cours, et pre- 
sence en nombres voulus de messages de gestion n6- 

^5 gatifs dans une periode elementaire. La confidentialite 
des messages interdit a toute personne la possibilite de 
reconnaitre J'adresse de la carte a puce vers laquetle 
est adresse le, message. Cette confidentialite est obte- 
nue, par exemple, en realisant un chiffrement symelri- 

so que a cle secrete du message en utilisant des systemes 
de chiffrement connus, tel que le systeme DES pour 
"Data.Enscription Standard" ou tout autre chiffreur a cle 
' secrete. L'aulhenticite garantit Timpossibilite de modifier 
un message de gestion ou de le remplacer par un autre. 

ss Cette authenticite pour les messages de gestion nega- 
tifs EMM-N est assuree par le calcul d'un condens6 par 
une fonction de hachage cryptographique parametree 
par un secret partage par la carle a puce et Temetteur, . 
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de telle sorte qu'en cas de modification du message do 
gestion, on obtienne una modification du resultat et la 
detection de I'erreur par la carte a puce. L'utilisation de 
celte fonction de hachage n'est pas n6cessaire dans le 
cas ou Ton utilise un chiflreur oflranl une torte diffusion, 
car dans ce cas la modification d'un bit du message chif- 
f re entraine aussi une forte modification du message de- 
chiffr6 el par la meme une forie probabilite de perturba- 
tion de I'adresse de message de gestion. L'authenticite 
par rapport a la sequence du service en cours interdit 
de detacher un message EMM reconnu aiithentique 
pour le substituer a un autre message EMM diffuse pen- 
dant une autre sequence. Elle est assuree en liant le 
message ECM immediatement precedent et ce messa- 
ge EMM-N, par exemple en inserant dans le message 
EMM-N I'octet de rangO, appeleCW(O), du motdecon- 
trole de I'ECM precedent qui est un de ces Elements 
caracteristiques et variables d'une sequence a I'autre, 
comnrie cela est represents sur la figure 3 qui sera de- 
crite ci-aprfes. D'autre part, le comptage des messages 
de gestion negatifs est realise a partir du dernier mes- 
sage d'acces ECM 6mis jusqu'au prochain message 
d'acces ECM a emettre. Le resultat du comptage est 
integre dans le prochain message d'acces ECM. La car- 
te a puce cpmpte done les messages de gestion nega- 
tifs a partir d'un message d'acces donnS et compare le 
total obtenu k celui ecrit dans le message d'acces sui- 
vant. 

SI la carte d'un abonne detecte une anomalie 
d'aiuthenticite ou de comptage, elle ne delivre pas le mot 
de controle CW permettant de dSsembrouiller la pro- 
chaine periode elementaire du service. 

Le canal virtuel a haut debit ne transporte en fait 
que les messages de gestion positifs, a savoir ceux aug- 
rnentant les droits, - 

Sii I m imm ■ii irnm mjimnwiwi iibib m-^i;.!*! im ipi"" n»^™i^"^«i 
omme represente sur la figure 4; qui concerne le 

decodeur, dans ce cas un filtre non siecurise est alors 
monte en avant de la carte a puce de maniere ci eliminer 
les messages de gestion positifs EMM-P qui ne lui sont . 
pas adresses par comparaison entre I'adresse associee 
aux messages de gestion et I'adresse fournie par la car- 
te a puce, De ce fait, au moins I'adresse des messages 
de gestion positifs doit etre conriprehensible par le filtre. 
Pour eviter toute modification par un pirate, le canal ve- 
hiculant les messages EMM-P doit leur assurer 
l'authenticite. Celle-ci est obtenue par exemple par le 
calcul d'un condense du message EMM-P. melange k 
un secret partage par la carte et I'emetteur, a I'aide d'une 
fonction de hachage cryptographique telle que la fonc- 
tion MD5 connue, comme cela est represente sur la fi- 
gure 3. ■ 

On decrira maintenant en se referant a la figure 3, 

un exemple de creation des differents messages prote- 
ges, conformement au procede de la presente inven- 
tion. 

Comme deja decrit ci-dessus, les signaux envoyes 
par le prestataire de service comprennent, entre autres, 
des messages attribuls references SA et emis ^ la fre- 



quence de 1SA/S, des messages de gestion negatifs 
EMM-N comportahl des donnees relatives a I'adresse 
et aux nouveaux droits, ces messages etant emis 
1 EMM-N/s et des messages de gestion positifs EMM-P 

5 comportant des donnees relatives a I'adresse et aux 
nouveaux droits, ces messages 6tant 6mis avec 
1 0OOEMM-P/s- Comme repesente sur la figure 3, les at- 
tributs SA sont envoyes sur un circuit permettant I'inser- 
tion du mot de controle CW; le message obtenu. est 

10 alors envoy e sur un nouveau circuit 2 realisant inser- 
tion du nombre de message EMM-N diffuses depuis 
renvoi du dernier message d'acces ECM. Cette infor- 
mation est obtenue depuis un circuit 3.de stockage du 
nombre de messages EMN-N envoyes entre deux mes- 

15 sages d'acces ECM. Ce circuit de stockage est lui-me- 
me connects S un circuit d'incrementation 6 qui sera de- 
crit ultSrieuremenl. D'autre part, le circuit d'insertion 2 
6met un message de remise a zero du circuit de stoc- 
kage 3 a chaque operation. Le message issu du circuit 

20 2 est envoy 6 sur un circuit de chiffrement 9 qui r6alise 
de maniere connue le chiffrement a I'aide d'une premie- 
re cle secrete, ce qui donne en sortie un message d'ac- 
ces chiffre ECM. 

D'autre part, la source de messages de gestion ne- 

2S gatits envoie un message EMM vers un circuit 5 reali- 
sant I'insertion la fraction CW[0] du motdecontrole cou- 
rant qui a ete stocke dans le circuit de stockage 4. Cette 
operation a pour but d'authentifier le message par rap- 
port k la sequence courante du service, Le message Is- 

30 su du circuit reference EMM-1 est envoy^ sur un circuit 
6 qui realise I'incrSmentation du nombre de messages 
EMM-N inject6s depuis le message de contrdle d'acces 
. precedent ECM. Ensuite, le message EMM-1 est en- 
voy6 sur un circuit 7 qui realise le' calcul du condense 

seiDrele par une fonction de hachage cohriue telle que 
la fonction referencee MD5 et decrite dans le manuel' 
■ intitule "BSAFE! A cryptographic toolkit" de RSA Data 
Security Inc Version 2.0. Le message EMM-2 issu du 

40 circuit 7 est envoye sur un circuit de chiffrement qui rea- 
' ilse le chiffrement a I'aide d'une trolsleme cle secrete de 
maniere a obtenir en sortie les messages EMM-N. De 
; plus, la source de messages EMM-P envoie les messa- 
ges EMM sur un circuit 10 realisant le calcul du conden- 

45 s6 des octets du message EMM et d'une quatr.ieme cle 
secrete par la fonction de hachage MD5 decrite cl-des- 
sus, de maniere k obtenlr les messages EMM-P. 

^ Comme represente sur la figure 4, les donnees mul- 
tiplexees D envoyees par le serveur arrivent au niveau 

50 du decodeur sur un demultiplexeur M"\. En sortie du 
demultiplexeur, on obtiept les donnees correspondant 
. au service demande sous forme embroulllee. Ces don- 
nees sont envoyees sur un desembroullleur S'"" qui, 
lorsqu'il regoit un mot de contr6le CW de la carle a puce, 

55 donne les informations a correspondant au service tels 
que les signaux correspondant aux films commandes. 
En sortie du demultiplexeur on obtlent aussi les messa- 
ges d'acces ECM emis a un debit de 1/S, les messages 
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de gestion negatits EMM-N emis aussi selon un debit 
de 1/S, k savoir ^faible d6blt, et les messages de 968- 
tion poslttfs EMM-P comportanl une adresse fiitrable qui 
sont emis a haut debit et qui sonl envoyes sur le filtre" 
de maniere k ne Iransmettre vers la carte a puce que 
les messages de gestion comportant la bonne adresse 
a un taible debit. Par faible debit, on entend un debit 
permettant a la carte a puce de trailer les donn^es. 

Revendications 

1. Precede de protection des messages de gestion- 
d'un systeme de contr6le d'acces. comportant des 

messages de gestion (EMM) specifiques a chaque 
utiiisateur, caraclerise en ce que les messages de 
gestion (EMM) sont divis6s en messages de ges- 
tion augmentant les droits de I'utilisateur appeles 
EMM ppsitifs et en messages de gestion diminuant 
les droits de I'utilisateur appeles EMM negatifs, cha- 
que type de messages etant traile differemment. 

2. Procede selon la revendication 1 , caracteris6 en ce 
que les messages de gestion (EMM) sont multi- 
plexes avec des. messages de contrple d'acces 

(ECM). ,^ 

' 3. Procede selon I'une quelconque des revendications 
1 et 2, caracterise en ce que les messages de ges- 
tion negatifs sont envoyes directemenl vers la carte 
a puce detenue par un utiiisateur a travers un canal 
virtuel a bas debit adaple aux ppssibilites de traite- 
ment de la carte a puce. 

4. Procede selon I'une quelconque des revendications 
1 a 3. caracterise en ce que les messages de ges^ 
tion negatifs sont chiffres avant d'etre emis pour 
empecher la reconnaissance de I'adresse de la car- 
te a puce. / 

5. Procede selon la revendication 4, caracterise en ce ■ 
'que le chiffrement est realise en utilisant un dispo- 

- sitif de chiffrement symetrique k cle secrete. 

6. Procede selon I'une quelconque des revendications 
1 a 5, caracterise en ce que I'authenticite des mes- 
sages de gestion negatifs est assuree par le calcul 
d'un condense par une tonction de hachage cryp. ■ 

. tographique parametree par un secret partage par 
la carle a puce et I'emetteur 

7. Procede selon I'une quelconque des revendications 
1 a 6, caracterise en ce que les messages de ges- 
tion negatifs son! authentifies par rapport a la se- 
quence de service en cours au moment de leur dif- 
fusion, empechant Fechange d'un message EMM 
authentique par un autre message EMM authenti- 
que provenant d'une autre sequence. 



8. Procede selon TUne quelconque des revendications 
1 a 6, caracteris6 en ce que les messages de ges- 
tion negatifs sont authentifies par rapport. a la se- 
quence de service en cours au moment de leur difr 

5 fusion en y incluant un element variable d'une se- 
quence a I'autre constitue d'un ou plusieurs octets 
du mot de controle CW. 

9. Procede selon I'une quelconque des revendications 
10 1 a 8, caracterise en ce que Ton effectue le comp- 

tage des messages de gestion negatifs envoyes 
entre deux messages de controle d'acces (ECM), 
le dernier message de controle d'acces contenant 
une information sur le nomb're de message de ges- 
^5 tion negatifs envoyes et Ton compare le resultat du 
- cbmptage a cette information de maniere a refuser 
faeces en cas de difference. 

10. Procede selon I'une quelconque des revendications 
20 precedentes, caracterise en ce que les messages 

1 de gestion positifs sont transmis vers la carte a puce 
a travers un filtre elinhinant les messages, non 
adresses a ladite carte. ' , 

2S 11. Procede se\on la revendication 10, caracterise en 
ce que les messages de gestion positifs el une cle 
secrete partagee par I'emetteur et la carte a puce 
sont envoy 6s sur une fpnction'de hachage cryplo- 
graphique de maniere a detecter au niveau de la 

30 • . carte a puce toute modification du message d'auto- 
risation positif 

12, Dispositif pour la mise en oeuvre du precede selon 
I'une quelconque des revendications i a 11 , Carac- 
as terise en ce qu'il comporte un decodeur constitue 
d'au moins un demultipiexeur M-^x delivrant entre 
■ • autre les donnees, les messages d'acces ECM, les 
messages de gestion negatifs EMM-N, les messa- 
ges de gestion positifs EMM-P, une carte a puce 
40 recevant directement ,les messages d'acces ECM 
et les messages de gestion negatifs, un filtre en- 
voyant vers la carte a puce uniquement les messa^ 
ges de gestion positifs dont I'adresse correspond a 
I'adresse stockee dans la carte ^ puce et un circuit 
45 de desembrouitlage desembrouillanl les donnees 
en fonction d'un signal de gestion donne par (a carte 
a puce. 

so 
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